#news Аккаунты пользователей на многих сайтах могут быть взломаны ещё до того, как они будут зарегистрированы.
Речь об атаках, в ходе которых на почту потенциальной жертвы заранее регистрируют аккаунт. Если в него войдёт владелец ящика, предугадливый взломщик может сохранить доступ разными методами. Самый распространённый — незаконченная сессия, но вариантов много. В некоторых случаях удаётся обойти и верификацию почты.
Из 75 популярных сервисов к разным атакам оказались уязвимы 35, в том числе Dropbox и LinkedIn. Крупные-то площадки это быстро поправят, а сколько мелких останутся с уязвимостями — не счесть. Безопасники Мелкософта также опубликовали подробную статью об этом типе атак и защите от них.
@tomhunter
Речь об атаках, в ходе которых на почту потенциальной жертвы заранее регистрируют аккаунт. Если в него войдёт владелец ящика, предугадливый взломщик может сохранить доступ разными методами. Самый распространённый — незаконченная сессия, но вариантов много. В некоторых случаях удаётся обойти и верификацию почты.
Из 75 популярных сервисов к разным атакам оказались уязвимы 35, в том числе Dropbox и LinkedIn. Крупные-то площадки это быстро поправят, а сколько мелких останутся с уязвимостями — не счесть. Безопасники Мелкософта также опубликовали подробную статью об этом типе атак и защите от них.
@tomhunter
❤8🤔1
#news Популярные библиотеки для Python и PHP подменили на содержащие вредонос для кражи переменных среды и данных доступа к Amazon Web Services.
Скомпрометировали модуль для Питона ctx и PHP-пакет hautelook/phpass. У модуля 20к скачиваний в неделю, и последние пару недель все его версии содержали зловред. Скорее всего, хакер угнал аккаунт разработчика. Пакет же заменили, пересоздав удалённый GitHub-репозиторий, но с этим обошлось, так как все давно сидят на его форке.
Стоящий за атаками злоумышленник якобы очевиден, но пока не назван. Ранее после вала похожих атак GitHub ввёл обязательную двухфакторную аутентификацию для топ-100 npm-пакетов. Другие платформы, вероятно, последуют примеру.
@tomhunter
Скомпрометировали модуль для Питона ctx и PHP-пакет hautelook/phpass. У модуля 20к скачиваний в неделю, и последние пару недель все его версии содержали зловред. Скорее всего, хакер угнал аккаунт разработчика. Пакет же заменили, пересоздав удалённый GitHub-репозиторий, но с этим обошлось, так как все давно сидят на его форке.
Стоящий за атаками злоумышленник якобы очевиден, но пока не назван. Ранее после вала похожих атак GitHub ввёл обязательную двухфакторную аутентификацию для топ-100 npm-пакетов. Другие платформы, вероятно, последуют примеру.
@tomhunter
😱7
#news С начала СВО было выявлено четыре компании по распространению RAT, имитирующих обновления Windows. Все компании были нацелены на российские правительственные организации. Во всех четырех случаях конечной целью кампаний было заражение целей пользовательским трояном удаленного доступа (RAT), который, скорее всего, использовался для слежки.
@tomhunter
@tomhunter
🤔4
#news Госдеп США создает новое разведывательное подразделение по работе с открытыми данными (OSINT). Об этом сообщил Бретт Холмгрен, помощник госсекретаря по разведке и исследованиям. Создание подразделения является частью нового стратегического плана под названием «INR 2025». В нем изложены пять основных столпов, начиная с императива «поднять стратегический анализ и переопределить разведывательную поддержку дипломатии». Стратегия INR также отдает приоритет найму людей с более разнообразным опытом и взглядами. Разнообразие продолжает оставаться проблемой для всего разведывательного сообщества.
@tomhunter
@tomhunter
🤔7❤1
#news Браузер DuckDuckGo отсылает информацию с трекеров Microsoft по соглашению между компаниями.
Разработчики так называемого приватного браузера признали, что не блокируют трекеры Мелкософта, после того как это обнаружил безопасник. А они, к слову, пишут айпишники и данные User-agent пользователей. На поднявшуюся шумиху компания заявила, что постарается это исправить, внесёт ясность в пользовательское соглашение, да и вообще анонимность-то они никогда не обещали.
Вот тебе и защита от компаний, собирающих и продающих данные. Все корпорации равны, но некоторые равнее — трекеры от Гугла и Фейсбука браузер блокирует. Но как верно подмечает продажная утка в своих же рекламных агитках: «Слежка есть слежка».
@tomhunter
Разработчики так называемого приватного браузера признали, что не блокируют трекеры Мелкософта, после того как это обнаружил безопасник. А они, к слову, пишут айпишники и данные User-agent пользователей. На поднявшуюся шумиху компания заявила, что постарается это исправить, внесёт ясность в пользовательское соглашение, да и вообще анонимность-то они никогда не обещали.
Вот тебе и защита от компаний, собирающих и продающих данные. Все корпорации равны, но некоторые равнее — трекеры от Гугла и Фейсбука браузер блокирует. Но как верно подмечает продажная утка в своих же рекламных агитках: «Слежка есть слежка».
@tomhunter
💩19🤬6😁4
#news По подменённым библиотекам на PHP и Python появилось обновление. Как и предполагали, это был белошляпочник, упражняющийся в поиске уязвимостей.
Он вышел на связь и утверждает, что дурных намерений у него якобы не было, а кражу AWS-ключей в зловред вписал, чтобы показать возможный ущерб от атаки. Репозиторий модуля ctx хакер угнал, выкупив к нему истёкший почтовый домен с индивидуальным адресом. А нашёл его с помощью бота, который парсил ящики для репозиториев.
Исследователь также заявил, что его отчёт по эксплойту на HackerOne закрыли как уже известный. Сам же он ещё и залёг на дно, как только поднялась шумиха. Такой вот не очень этичный хакинг с сомнительным душком.
@tomhunter
Он вышел на связь и утверждает, что дурных намерений у него якобы не было, а кражу AWS-ключей в зловред вписал, чтобы показать возможный ущерб от атаки. Репозиторий модуля ctx хакер угнал, выкупив к нему истёкший почтовый домен с индивидуальным адресом. А нашёл его с помощью бота, который парсил ящики для репозиториев.
Исследователь также заявил, что его отчёт по эксплойту на HackerOne закрыли как уже известный. Сам же он ещё и залёг на дно, как только поднялась шумиха. Такой вот не очень этичный хакинг с сомнительным душком.
@tomhunter
🤔9🤯3🔥1
#OSINT #METADATA Получаем метаданные из фотографий (различные параметры съемки и фотоаппарата):
├FBMD (Facebook metadata)
├Metapicz
├Metadata2go
├exif-viewer
├Exiftool
├Regex
├Exifdata
├Jimpl
└Pic2Map
@tomhunter
├FBMD (Facebook metadata)
├Metapicz
├Metadata2go
├exif-viewer
├Exiftool
├Regex
├Exifdata
├Jimpl
└Pic2Map
@tomhunter
❤8
#news Twitter, нагло и цинично, собрал данные о номерах телефонов и адресах электронной почты у боле чем 140 миллионов своих пользователей. Сбор данных соцсеть мотивировала необходимостью защиты учетных записей и прочими 2FA. Фактически, компания слила весь массив информации рекламодателям... Вывод прокуратуры США - штраф в 150 млн. USD и запрет вводить пользователей в заблуждение в будущем (вот тут было смешно).
Нечто похожее произошло и ранее, в 2018 году, когда Facebook создал сложные рекламные профили для всех своих пользователей. Позже Facebook использовала телефонные номера 2FA пользователей в качестве дополнительного вектора для показа целевой рекламы.
@tomhunter
Нечто похожее произошло и ранее, в 2018 году, когда Facebook создал сложные рекламные профили для всех своих пользователей. Позже Facebook использовала телефонные номера 2FA пользователей в качестве дополнительного вектора для показа целевой рекламы.
@tomhunter
💩5❤2😱2🤯1
#OSINT #SAFETY Сегодня будем учиться устанавливать приватную ОС TAILS — один из дистрибутивов Linux на основе Debian.
1️⃣ Перейдите на сайт Tails для выбора версии образа системы под компьютер с конкретной ОС
2️⃣ Ознакомьтесь с системными требованиями и инструкцией по установке
3️⃣ Скачайте образ системы на компьютер с помощью торрента или по HTTPS-протоколу
4️⃣ Перейдите на сайт Balena. Скачайте и установите на компьютер бесплатную утилиту Etcher
5️⃣ Запустите Etcher, вставьте USB-флешку (от 8Гб), нажмите на «Select image» и выберите загруженный образ
6️⃣ Запись файлов на USB-флешку займет 5-10 минут.
7️⃣ Войдите в BIOS. В разделе «FIRST BOOT DEVICE» установите приоритетную загрузку с USB
8️⃣ При запуске Tails Linux необходимо произвести первичную настройку OS (аккаунт администратора, язык и пр.)
9️⃣ Нажмите «Start Tails» и наслаждайтесь использованием анонимной ОС
⚠️ В целях безопасности, советуем дождаться выхода Tails 5.1. Это будет уже 31 мая.
@tomhunter
1️⃣ Перейдите на сайт Tails для выбора версии образа системы под компьютер с конкретной ОС
2️⃣ Ознакомьтесь с системными требованиями и инструкцией по установке
3️⃣ Скачайте образ системы на компьютер с помощью торрента или по HTTPS-протоколу
4️⃣ Перейдите на сайт Balena. Скачайте и установите на компьютер бесплатную утилиту Etcher
5️⃣ Запустите Etcher, вставьте USB-флешку (от 8Гб), нажмите на «Select image» и выберите загруженный образ
6️⃣ Запись файлов на USB-флешку займет 5-10 минут.
7️⃣ Войдите в BIOS. В разделе «FIRST BOOT DEVICE» установите приоритетную загрузку с USB
8️⃣ При запуске Tails Linux необходимо произвести первичную настройку OS (аккаунт администратора, язык и пр.)
9️⃣ Нажмите «Start Tails» и наслаждайтесь использованием анонимной ОС
⚠️ В целях безопасности, советуем дождаться выхода Tails 5.1. Это будет уже 31 мая.
@tomhunter
❤8😁3
#news К вопросу о том, почему с установкой Tails лучше не спешить. На недавнем хакерском соревновании Pwn2Own в джава-движке от Firefox обнаружили две критических уязвимости нулевого дня. Их уже поправили, но патч в дистрибутиве Tails появится только в следующей версии.
Уязвимости позволяют злоумышленникам украсть вводимые на других сайтах данные, если пользователь Tor-браузера посетит скомпрометированный. А в Tails весь сетевой трафик по дефолту идёт через торовскую сеть — дистрибутив рассчитан на журналистов, активистов и всех прочих, нуждающихся в анонимности. Впрочем, безопасно пользоваться им можно и сейчас, если отрубить JavaScript.
@tomhunter
Уязвимости позволяют злоумышленникам украсть вводимые на других сайтах данные, если пользователь Tor-браузера посетит скомпрометированный. А в Tails весь сетевой трафик по дефолту идёт через торовскую сеть — дистрибутив рассчитан на журналистов, активистов и всех прочих, нуждающихся в анонимности. Впрочем, безопасно пользоваться им можно и сейчас, если отрубить JavaScript.
@tomhunter
❤6🔥4
#news Интерпол арестовал предполагаемого лидера хакерской группировки SilverTerrier.
Подозреваемого задержали в Нигерии в результате операции правоохранительных органов и инфосек-компаний, в числе которых наша Group-IB. Их спецы следили за бандой африканских принцев с 2019-го года и предоставили данные, сыгравшие ключевую роль в аресте.
Группировка занималась фишингом и мошенничеством с электронной почтой, и их BEC-атаки — самая прибыльная киберпреступная стезя — скомпрометировали сотни тысяч ящиков по всему миру. Что ж, теперь писем счастья от нигерийского преступного барона будет порядком меньше.
@tomhunter
Подозреваемого задержали в Нигерии в результате операции правоохранительных органов и инфосек-компаний, в числе которых наша Group-IB. Их спецы следили за бандой африканских принцев с 2019-го года и предоставили данные, сыгравшие ключевую роль в аресте.
Группировка занималась фишингом и мошенничеством с электронной почтой, и их BEC-атаки — самая прибыльная киберпреступная стезя — скомпрометировали сотни тысяч ящиков по всему миру. Что ж, теперь писем счастья от нигерийского преступного барона будет порядком меньше.
@tomhunter
🔥9🤔1
#news Исследователи обнаружили 11 приложений для Android, собирающих конфиденциальную информацию с телефонов пользователей, включая данные копирования и вставки, номера телефонов и адреса электронной почты. Всякий раз, когда пользователь что-то копирует/вставляет, оно попадает в общий буфер обмена, который этот SDK просматривал и загружал на свои серверы. SDK принадлежат панамской фирме Measurement Systems, имеющей связи с оборонным подрядчиком в Вирджинии Vstrom Holdings, который занимается киберразведкой для правительственных агентств США.
@tomhunter
@tomhunter
🤯7😁2
#news В первых числах июня в Нижнем Новгороде пройдет конференция ЦИПР (Цифровая индустрия промышленной России). В рамках мероприятия от компании T.Hunter выступят эксперты департамента информационно-аналитических исследований Федор Ряузов и Саид Табаев по теме Цифровые жертвы: буллинг, харассмент и шантаж в сети.
Подробнее о мероприятии...
Подробнее о мероприятии...
❤5💩2
#news Google отключил кэширующие сервера двух российских провайдеров, МФТИ-Телеком и Радиосвязь.
Компании сообщили, что получили уведомления об этом только через пару дней после отключения. Связано оно, как водится, с санкциями. Это вряд ли скажется на работе наших сетей, так как у этих двух провайдеров небольшой охват. Но если вслед за ними отрубят и остальные…
Эти сервера облегчают нагрузку при прокачке контента от Гугла на 70-90 процентов. Речь, прежде всего, о YouTube. Их отключение серьёзно увеличит нагрузку на сети провайдеров, что в свою очередь приведёт к росту стоимости услуг. Кроме того, гугловская капча на российских сайтах может банально отвалиться.
@tomhunter
Компании сообщили, что получили уведомления об этом только через пару дней после отключения. Связано оно, как водится, с санкциями. Это вряд ли скажется на работе наших сетей, так как у этих двух провайдеров небольшой охват. Но если вслед за ними отрубят и остальные…
Эти сервера облегчают нагрузку при прокачке контента от Гугла на 70-90 процентов. Речь, прежде всего, о YouTube. Их отключение серьёзно увеличит нагрузку на сети провайдеров, что в свою очередь приведёт к росту стоимости услуг. Кроме того, гугловская капча на российских сайтах может банально отвалиться.
@tomhunter
😢11❤8😁3🤔2🔥1
#news Вышел ежегодный DBIR-отчёт по инфобезопасности (Data Breach Investigations Report). В принципе, за пятнадцать лет с его первой публикации мало что изменилось.
Разве что рансомварь сейчас правит бал во взломах, составляя 70% вредоноса в атаках, число которых резко выросло за прошлый год. Примечателен он и атаками через цепочку поставок — их всё больше, и весь 2021-й компаниям ещё не раз аукался нашумевший взлом SolarWinds.
А основной уязвимостью всё так же является человеческий фактор — в целом ему можно приписать 82% взломов, будь то жертвы фишинговых атак, украденные данные доступа или просто ошибки на местах. Так что обучение сотрудников инфосеку всё так же критично. Подробнее об инфосек-событиях прошлого года по ссылке.
@tomhunter
Разве что рансомварь сейчас правит бал во взломах, составляя 70% вредоноса в атаках, число которых резко выросло за прошлый год. Примечателен он и атаками через цепочку поставок — их всё больше, и весь 2021-й компаниям ещё не раз аукался нашумевший взлом SolarWinds.
А основной уязвимостью всё так же является человеческий фактор — в целом ему можно приписать 82% взломов, будь то жертвы фишинговых атак, украденные данные доступа или просто ошибки на местах. Так что обучение сотрудников инфосеку всё так же критично. Подробнее об инфосек-событиях прошлого года по ссылке.
@tomhunter
🔥8
#OSINT #DEEPFAKE Дипфейк — реалистичная подмена фото-, аудио- и видеоматериалов, созданная с помощью нейросетей. Какие есть сервисы для обнаружения дипфеков? Читаем далее:
├deepfake-detection
├Fake Profile Detector
├DFSpot-Deepfake-Recognition
├KaiCatch
├RealAI
├deepware
├Weishi
└DFSpot-Deepfake-Recognition
@tomhunter
├deepfake-detection
├Fake Profile Detector
├DFSpot-Deepfake-Recognition
├KaiCatch
├RealAI
├deepware
├Weishi
└DFSpot-Deepfake-Recognition
@tomhunter
🔥5😁1
#news Касперский рапортует о взрывном росте числа мобильных троянов. Их стали обнаруживать в два раза чаще в сравнении с тем же периодом за прошлый год.
Пока простенькая малварь уходит с киберпреступной сцены, в ход идут продвинутые приблуды. Банковские трояны стали доступнее и дешевле, а ещё малварь чаще продвигают через официальные магазины. Там, пожалуй, самое гнусное — это мошенники, обкрадывающие людей под видом приложений для оформления льгот и выплат.
А в Индии, Бразилии и Мексике коллекторы выходят на новый уровень. Приложения для микрозаймов запрашивают доступ к контактам, смс и фото, а при просрочке это всё используют для шантажа и так вплоть до блокировки телефона. Ну, лишь бы у нас этот тренд не прижился. С нашей-то коллекторской, кхм, этикой.
@tomhunter
Пока простенькая малварь уходит с киберпреступной сцены, в ход идут продвинутые приблуды. Банковские трояны стали доступнее и дешевле, а ещё малварь чаще продвигают через официальные магазины. Там, пожалуй, самое гнусное — это мошенники, обкрадывающие людей под видом приложений для оформления льгот и выплат.
А в Индии, Бразилии и Мексике коллекторы выходят на новый уровень. Приложения для микрозаймов запрашивают доступ к контактам, смс и фото, а при просрочке это всё используют для шантажа и так вплоть до блокировки телефона. Ну, лишь бы у нас этот тренд не прижился. С нашей-то коллекторской, кхм, этикой.
@tomhunter
🔥13😱3
#news Ни дня без сливов от «Яндекс.Еды». Теперь в сети огромные базы как их курьеров, так и конкурентов в зелёненьком. Имена, телефоны, почтовые ящики больше полумиллиона человек. Пароли только хешированы, и то добро.
Компания, как обычно, в стадии отрицания: новых сливов якобы не было, и это данные, утянутые ещё в феврале, да и вообще они от деактивированного приложения. Пользователи гневаются и язвят. Обнаружившие утечки спецы из DLBI торгуются — актуальность данных ещё нужно проверять. У надеющихся на суд депрессия — им отсыпят очередной символический штраф и извинений поглубже.
И только матёрые безопасники давно в стадии принятия. Да, все ваши системы — дырявое решето, а ваш сотрудник продал нам базу клиентов за пару сотен баксов. Не хотите немного пентеста по сходной цене? Так и живём.
@tomhunter
Компания, как обычно, в стадии отрицания: новых сливов якобы не было, и это данные, утянутые ещё в феврале, да и вообще они от деактивированного приложения. Пользователи гневаются и язвят. Обнаружившие утечки спецы из DLBI торгуются — актуальность данных ещё нужно проверять. У надеющихся на суд депрессия — им отсыпят очередной символический штраф и извинений поглубже.
И только матёрые безопасники давно в стадии принятия. Да, все ваши системы — дырявое решето, а ваш сотрудник продал нам базу клиентов за пару сотен баксов. Не хотите немного пентеста по сходной цене? Так и живём.
@tomhunter
😁12🔥3
#news Новая уязвимость нулевого дня в Microsoft Office не требует включённых макросов для эксплойта.
Критическая уязвимость CVE-2022-30190, названная Follina, позволяет подтянуть зловред и выполнять Powershell-команды с помощью MSDT при открытии файла. Для этой атаки на загрузку вредоносного шаблона не нужны ни макросы, ни повышенные привилегии. Нет толку и от Windows Defender’a. Более того, RTF-файл даже запускать не надо: достаточно просто выбрать его, если включена панель превью. Под угрозой все версии MS, начиная с 2013.
Самое занятное, Мелкософту об уязвимости сообщили ещё в апреле, но тикет закрыли, так как компания воспроизвести её не смогла. Ну, зато теперь смогут злоумышленники. Запоздалый патч уже обещан, а пока вордовские файлы в почте даже курсором гладить не стоит.
@tomhunter
Критическая уязвимость CVE-2022-30190, названная Follina, позволяет подтянуть зловред и выполнять Powershell-команды с помощью MSDT при открытии файла. Для этой атаки на загрузку вредоносного шаблона не нужны ни макросы, ни повышенные привилегии. Нет толку и от Windows Defender’a. Более того, RTF-файл даже запускать не надо: достаточно просто выбрать его, если включена панель превью. Под угрозой все версии MS, начиная с 2013.
Самое занятное, Мелкософту об уязвимости сообщили ещё в апреле, но тикет закрыли, так как компания воспроизвести её не смогла. Ну, зато теперь смогут злоумышленники. Запоздалый патч уже обещан, а пока вордовские файлы в почте даже курсором гладить не стоит.
@tomhunter
🔥15😱4
#news Гугл втихаря запретил использовать вычислительные мощности своего Colab’a для создания дипфейков.
На этом облачном сервисе для работы с Python-кодом теперь не сделать ни обещающего крипту Маска, ни видео с бывшей подружкой. За счёт многоядерных процессоров Colab ещё недавно отлично подходил для натаскивания машинного интеллекта под дипфейки. Теперь же они на сервисе в одном ряду с майнингом крипты, взлом паролей, торрентами и прочей крамолой.
На фоне мошеннических схем и использования дипфейков в инфовойнах, новость неплохая. Алармисты-то и вовсе грозят, что через несколько лет они совсем поломают реальность и доверие в обществе. Ну, теперь с серверов Гугла дипфейки если и будут, то только одобренные сверху! Что может пойти не так…
@tomhunter
На этом облачном сервисе для работы с Python-кодом теперь не сделать ни обещающего крипту Маска, ни видео с бывшей подружкой. За счёт многоядерных процессоров Colab ещё недавно отлично подходил для натаскивания машинного интеллекта под дипфейки. Теперь же они на сервисе в одном ряду с майнингом крипты, взлом паролей, торрентами и прочей крамолой.
На фоне мошеннических схем и использования дипфейков в инфовойнах, новость неплохая. Алармисты-то и вовсе грозят, что через несколько лет они совсем поломают реальность и доверие в обществе. Ну, теперь с серверов Гугла дипфейки если и будут, то только одобренные сверху! Что может пойти не так…
@tomhunter
🔥4😁3🤯1😱1💩1